当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130467

漏洞标题:陕西省全员人口个案管理信息培训系统可导致大量个人信息泄露(以及避孕情况)

相关厂商:陕西省全员人口个案管理信息培训系统

漏洞作者: 路人甲

提交时间:2015-07-30 16:48

修复时间:2015-09-17 11:48

公开时间:2015-09-17 11:48

漏洞类型:内部绝密信息泄漏

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-30: 细节已通知厂商并且等待厂商处理中
2015-08-03: 厂商已经确认,细节仅向厂商公开
2015-08-13: 细节向核心白帽子及相关领域专家公开
2015-08-23: 细节向普通白帽子公开
2015-09-02: 细节向实习白帽子公开
2015-09-17: 细节向公众公开

简要描述:

陕西省全员人口个案培训管理信息系统 使用说明泄露 可导致登录后台查询信息 而且信息为真实信息

详细说明:

无意间在百度文库:http://wenku.baidu.com/view/f3f0a27fb84ae45c3b358cf2.html看到陕西省人口个案管理信息系统的使用说明书: 域名;http://124.115.170.79:9080/pis/ 这套系统本来是作为培训用的 可是导入了真实的信息.上面写出了全省登录系统的账号分配方式以及通用密码:

ppt1.png


ppt2.png


得知账号分配方式为:据文库使用说明得知账户格式为P+区划代码+6个0 密码通用为八个1
测试登录::选择西安市碑林县 账户 P610204000000 密码: 11111111
本来以为没有真实信息呢 可是发现只有几条是随便输入的个人信息,其余都是真实的信息:

碑林县人口信息总括.png

碑林县1.png

按户查询2.png

按户查询2.png


又登录了陕西市的账号:又登录了总管理员账户: 陕西省 P610000000000 11111111

陕西西安查询.png

陕西23w.png

如果说着23w条信息都是虚假的 我不信..
总结了下登录账号为P+区划代码+000000 密码 11111111
区划代码:610000  陕西省
610100   西安市
610101    市辖区
610102    新城区
610103    碑林区
610104    莲湖区
610111    灞桥区
610112    未央区
610113    雁塔区
610114    阎良区
610115    临潼区
610116    长安区
610122    蓝田县
610124    周至县
610125    户县
610126    高陵县
610200   铜川市
610201    市辖区
610202    王益区
610203    印台区
610204    耀州区
610222    宜君县
610300   宝鸡市
610301    市辖区
610302    渭滨区
610303    金台区
610304    陈仓区
610322    凤翔县
610323    岐山县
610324    扶风县
610326    眉县
610327    陇县
610328    千阳县
610329    麟游县
610330    凤县
610331    太白县
610400   咸阳市
610401    市辖区
610402    秦都区
610403    杨陵区
610404    渭城区
610422    三原县
610423    泾阳县
610424    乾县
610425    礼泉县
610426    永寿县
610427    彬县
610428    长武县
610429    旬邑县
610430    淳化县
610431    武功县
610481    兴平市
610500   渭南市
610501    市辖区
610502    临渭区
610521    华县
610522    潼关县
610523    大荔县
610524    合阳县
610525    澄城县
610526    蒲城县
610527    白水县
610528    富平县
610581    韩城市
610582    华阴市
610600   延安市
610601    市辖区
610602    宝塔区
610621    延长县
610622    延川县
610623    子长县
610624    安塞县
610625    志丹县
610626    吴起县
610627    甘泉县
610628    富县
610629    洛川县
610630    宜川县
610631    黄龙县
610632    黄陵县
610700   汉中市
610701    市辖区
610702    汉台区
610721    南郑县
610722    城固县
610723    洋县
610724    西乡县
610725    勉县
610726    宁强县
610727    略阳县
610728    镇巴县
610729    留坝县
610730    佛坪县
610800   榆林市
610801    市辖区
610802    榆阳区
610821    神木县
610822    府谷县
610823    横山县
610824    靖边县
610825    定边县
610826    绥德县
610827    米脂县
610828    佳县
610829    吴堡县
610830    清涧县
610831    子洲县
610900   安康市
610901    市辖区
610902    汉滨区
610921    汉阴县
610922    石泉县
610923    宁陕县
610924    紫阳县
610925    岚皋县
610926    平利县
610927    镇坪县
610928    旬阳县
610929    白河县
611000   商洛市
611001    市辖区
611002    商州区
611021    洛南县
611022    丹凤县
611023    商南县
611024    山阳县
611025    镇安县
611026    柞水县

漏洞证明:

其实有的县并没有输入这么多数据 只有几十条 但有几个县输入了几万的真实数据..

SHANXI信息查询.png


陕西23w.png

修复方案:

不知道这个系统现在应该谁管,但是那么多个人信息就在那里放着...

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-08-03 11:47

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给陕西分中心,由其后续协调网站管理单位处置。

最新状态:

暂无